Oggi il dato personale è diventato il mezzo per il mantenimento di molti dei servizi online, specialmente di quelli gratuiti.
In particolare è la pubblicità (vedi: pubblicità comportamentale) che è diventata uno dei principali modelli di business utilizzati su Internet, e il tracciamento degli utenti (vedi: fingerprint) per raccogliere quanti più dati possibili la rende più profittevole. I cookie (ma anche gli altri identificatori univoci usati online) sono uno dei mezzi utilizzati dalle aziende per raccogliere i dati degli utenti.
Cookie o identificatori univoci
I cookie sono file di puro testo inviati da un sito web direttamente nel dispositivo (computer, smartphone, tablet...) dell'utente che lo visita. Nei testi normativi vengono spesso definiti come “marcatori”, ma più correttamente dovrebbero essere chiamati “identificatori persistenti” (cioé che permangono anche dopo la chiusura del browser).
I cookie nascono, in realtà, come strumenti per semplificare la navigazione online, consentendo al sito web di registrare le scelte dell'utente (es. la lingua), ma subito le aziende si sono rese conto delle loro potenzialità. Un cookie consente di identificare e riconoscere l'utente (“sono l'utente n. 12453434”), o più esattamente il dispositivo tramite il quale l'utente accede a quel sito. Nell'era degli smartphone questo spesso equivale all'identificazione del singolo individuo.
Il riconoscimento dell'utente permette di realizzare meccanismi di autenticazione (login), di memorizzare dati utili alla sessione di navigazione (preferenze sull'aspetto grafico, sulla lingua del sito), di associare univocamente dati memorizzati dal server (contenuto del carrello di un sito di acquisti online), di tracciare la navigazione dell'utente a fini statistici o anche pubblicitari (inviandogli pubblicità personalizzata). Le aziende hanno compreso che i cookie possono essere impostati anche su siti di altre persone (diventando cookie di terza parte), e così DoubleClick (poi acquisita da Google) iniziò a tracciare gli utenti durante la navigazione online, realizzando gli annunci personalizzati che seguono l'utente tra vari siti (retargeting o remarketing).
Video How cookies can track you
Ed è proprio quest'ultimo aspetto, cioè la possibilità di “seguire” il percorso di navigazione dell'utente (tra i vari siti visitati) e quindi registrare tale percorso, cosa che consente di associare all'utente degli specifici comportamenti in rete e quindi classificarlo (profilazione), poiché incide fortemente sulla riservatezza degli utenti del web, ha convinto numerosi paesi, in particolar modo quelli europei, a regolamentare l'utilizzo dei cookie.
Normativa europea
La normativa europea già nel 2002 prevedeva una regolamentazione embrionale dei cookie, stabilendo l'obbligo di informativa e sancendo la prescrizione di comunicare agli utenti come disabilitare i cookie tramite browser. All'epoca, quindi, già esisteva l'obbligo di ottenere il consenso dall'utente, anche se esso poteva essere implicito (e generalmente in tal senso lo si intendeva). Infatti, questo è diventato lo standard del settore.
La direttiva comunitaria 2009/136/CE ha modificato la direttiva 2002/58/CE (ePrivacy), imponendo al gestore del sito web di informare l'utente del fatto che fa uso dei cookie sul sito, e in determinati casi a ottenere il consenso preventivo all'uso degli stessi. La direttiva europea del 2009 si limitava a creare un quadro normativo all'interno del quale erano, eventualmente, i singoli Garanti nazionali ad definire una regolamentazione di dettaglio (mappa attuazione Cookie Law in Europa).
Direttiva 2009/136/CE
Considerando 66: "Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE. L’esecuzione di detti requisiti dovrebbe essere resa più efficace tramite i maggiori poteri conferiti alle autorità nazionali competenti".
Articolo 3 - "Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio".
Articolo 5.3, modificato della DIRETTIVA 2002/58/CE - "Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l'eventuale memorizzazione tecnica o l'accesso al solo fine di effettuare (o facilitare Nota: termine rimosso nel testo finale) la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente".
Considerando 24 Direttiva ePrivacy: "Le apparecchiature terminali degli utenti delle reti di comunicazione elettronica e qualsiasi informazione memorizzata su tali apparecchiature fanno parte della sfera privata degli utenti che necessitano di protezione ai sensi della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. I cosiddetti spyware, web bug, identificatori nascosti e altri dispositivi simili possono entrare nel terminale dell'utente senza che questi ne sia a conoscenza per ottenere l'accesso alle informazioni, per memorizzare informazioni nascoste o per tracciare le attività dell'utente e possono seriamente violare la privacy di tali utenti. L'uso di tali dispositivi dovrebbe essere consentito solo per scopi legittimi, con la conoscenza degli utenti interessati".
E' da notare che l'articolo 5.3 fa riferimento ad "informazioni" e non solo a "dati personali", per cui l'applicabilità della norma è più ampia e riferibile anche ai dati non personali. La tutela riguarda in generale l'accesso ai terminali e ai dispositivi degli utenti, indipendentemente dal motivo. Per essere più chiari, l'accesso a un dispositivo dell'utente richiede comunque il consenso anche se la terza parte non archivia cookie sul dispositivo e si limita solo a leggere "informazioni" dallo stesso. La normativa, quindi, non mira solo a tutelare i dati personali, ma anche l'integrità del terminale dell'utente.
Per terminale, inoltre, si intende non solo uno smartphone o un tablet, ma in genere ogni dispositivo nella disponibilità di un utente finale, quindi una auto connessa, un televisore smart, e così via.
Altro concetto fondamentale è che l'archiviazione e l'accesso non devono necessariamente avvenire nella stessa comunicazione, e non devono necessariamente essere eseguiti dalla stessa parte. La norma si applica anche se l'archiviazione o l'accesso avviene in momenti successivi e da parte di un terzo rispetto a chi ha effettuato il primo accesso.
Regolamentazione italiana
La normativa in materia di cookie, di cui alle direttive europee, è stata recepita in Italia con la nuova formulazione dell'art. 122 D. Lgs 196/2003.
Art. 122 - Informazioni raccolte nei riguardi del contraente o dell'utente
"1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.
2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente".
La normativa europea non è entrata subito in vigore per i ritardi dei Garanti nazionali nel predisporre la regolamentazione di dettaglio. L'8 maggio 2014 anche il Garante per la Protezione dei Dati Personali italiano, come già in precedenza avevano fatto altri Garanti europei, ha emanato il Provvedimento “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 giugno 2014), dettante le regole sulle modalità di adempimento agli obblighi di rilascio dell'informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Il provvedimento è entrato in vigore il 3 giugno del 2015.
Video Cookie e privacy istruzioni per l'uso
La normativa, e il relativo provvedimento del Garante (pagina del Garante sui cookie), si applica a tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (art. 5, comma 2, del Codice privacy), in applicazione del principio di stabilimento. E' da precisare che i cookie (e tecnologie similari) vengono installati sul computer dell'utente e sono da considerare “strumenti situati nel territorio italiano” utilizzati al fine del tracciamento dell'utente. In realtà le ultime pronunce dei Garanti e dei tribunali tendono a valutare la giurisdizione in base a parametri ulteriori rispetto al criterio di stabilimento.
La normativa si applica anche alla navigazione da cellulare o smartphone (mobile), e non solo ai cookie ma anche a tutti gli strumenti analoghi (tracking pixel, web beacon, clear gif, fingerprint o similari) che consentono l'identificazione del dispositivo usato dall'utente.
La riforma europea si presenta come un chiaro rimprovero a quelle aziende che utilizzano termini di servizio poco chiari, troppo complessi, difficili da comprendere, ma anche a quelle che tendono a modificare troppo spesso i termini di servizio, determinando incertezza negli utenti su ciò che accade ai propri dati. Anche perché a seguito di tali modifiche spesso si amplia, sulla base di una scelta unilaterale, il numero dei dati utilizzati e gli scopi per i quali vengono utilizzati, rispetto a quanto era stato accettato dall'utente in sede di iscrizione al servizio.
Secondo l'Europa, infatti, i dati dovrebbero essere riservati per impostazione predefinita (“privacy by default”). Anche qui è una palese critica a quelle aziende che tendono ad impostare di default fin troppi dati come “pubblici” e “condivisi” automaticamente, fin quando l'utente non decide di leggere le impostazioni privacy e di modificarle.
Regolamento europeo (GDPR) e cookie
Il nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR) va a sostituire la normativa in materia di privacy chiarendo alcuni aspetti sui cookie e, comunque, rafforzando la tutela dei dati degli individui. Il Considerando 30 menziona espressamente i cookie:
Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.
Il Considerando 26, pur non menzionandoli, ci aiuta a capire che i cookie sono dati pseudonimi, e quindi sono sempre dati personali, dove gli elementi identificativi sono stati sostituiti da altri elementi (quali stringhe di testo e numeri). I dati pseudonimi, a differenza di quelli anonimizzati, sono comunque ritenuti dati personali anche se soggetti ad una tutela ridotta, perché comunque incrociandoli con altre informazioni è possibile giungere all'identificazione della persona, o meglio all’identificazione univoca del dispositivo utilizzato per l’accesso e la navigazione online. Aggiunge, altresì, che il GDPR non si applica al trattamento di informazioni anonime, anche per finalità statistiche e di ricerca, con ciò quindi fissando un'esenzione per i cookie di analytics in presenza di determinate condizioni.
Rapporti tra Cookie Law e Data Protection
La normativa in materia di tutela dei dati personali (Data Protection) ha lo scopo di tutelare la sfera privata dell'utente, e in particolare riconosce che il dispositivo (computer, smartphone, tablet) con il quale l'utente accede ad un sito web è parte della sfera privata, e quindi va protetto contro qualsiasi intrusione non autorizzata.
La Cookie Law, invece, si occupa esclusivamente delle azioni consistenti nella registrazione di informazioni (cookie) sul dispositivo di un utente oppure nell'accesso ad informazioni già registrate su quel dispositivo. Tutte le azioni precedenti o successive alla registrazione o all'accesso a tali informazioni non ricadono nella regolamentazione della Cookie Law, bensì nell'ambito della normativa generale (Data Protection).
Per chiarire, se il gestore di un sito vuole condurre un'analisi dell'uso del sito da parte degli utenti a fini di statistica (analytics), dovrà inviare dei cookie al terminale dei visitatori. L'invio e quindi la registrazione sul terminale dell'utente dei cookie ricade, appunto, nella Cookie Law. Qualsiasi ulteriore accesso ai cookie già impiantati sul terminale dell'utente ricade anch'esso sotto la Cookie Law. Però, nel momento in cui il gestore del sito vuole analizzare le informazioni raccolte tramite i suddetti cookie, questa analisi e tutti i trattamenti successivi, avvenendo al di fuori del terminale dell'utente, non sono soggetti alla Cookie Law bensì alla Data protection.
La Cookie Law fornisce una protezione superiore rispetto alla Data Protection, visto che quest'ultima prevede numerosi casi in cui il consenso informato non è necessario, mentre la Cookie Law non distingue tra dati personali e non personali e richiede sempre il consenso (a parte il rilascio di cookie tecnici).
Tutte la parti che registrano oppure ottengono l'accesso alle informazioni nel terminale dell'utente sono tenute al rispetto della Cookie Law, indipendentemente dall'uso delle informazioni (cioè il trattamento successivo dei dati ottenuti tramite cookie). Il gestore di un sito web è obbligato anche se tale registrazione o accesso avviene da parte di terzi (es. un social network), in quanto detto accesso si realizza tramite il suo sito (embed, banner, links, script, social button), cioè il gestore consente al terzo di utilizzare le sue risorse per l'accesso al terminale dell'utente.
La Cookie Law non consente ad una terza parte di registrare o accedere ad informazioni presenti sul terminale dell'utente in assenza di una corretta informazione e di un consenso da parte dell'utente. Per cui il gestore del sito diventa responsabile per i cookie impostati da una terza parte tramite il suo sito (vedi le FAQ del Garante, punto 6). Non è necessario un accordo preventivo tra il gestore del sito e la terza parte, ma può essere utile al fine di chiarire agli utenti del sito quali dati vengono raccolti dalla terza parte e con quale finalità. Il fattore decisivo per stabilire chi è responsabile dei cookie impostati e dell'accesso alle informazioni sul terminale dell'utente sta nel controllo del contenuto del sito. Il soggetto che controlla il contenuto del sito, cioè ha la possibilità tecnica di inserire o eliminare embed o social button, assume il ruolo di titolare del trattamento e quindi è responsabile per l'ottenimento del consenso.
Fermo restando che alcune categorie di cookie (anche detti tecnici) sono esentate dal consenso, l'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso comporta una sanzione da 10mila a 120mila euro.
Linee guida dei Garanti nazionali
Le autorità di controllo nazionali hanno pubblicato raccomandazioni e linee guida in materia. Nel luglio 2020 l’AEPD (Autorità spagnola) ha fornito le sue linee guida sull’utilizzo dei cookie, e nell'ottobre anche il CNIL (Autorità francese) ha pubblicato le sue linee guida e le sue raccomandazioni in materia.
Il Garante italiano a seguito di consultazione ha pubblicato le linee guida il 10 giugno 2021. Nelle linee guida in particolare prende posizione su varie questioni pratiche, come i legittimi interessi (non utilizzabili per i cookie di profilazione), i cookie wall (non leciti) e lo scrolling della pagina (non equivalente a consenso).
Inoltre, a seguito dei reclami presentati da NOYB, l'EDPB ha istituito una task force per esaminare in dettaglio i problemi associati ai cookie, che ha portato alla pubblicazione di un rapporto nel 2023. Il rapporto ha lo scopo di garantire un approccio coerente ai banner cookie nell'Unione europea, però l'EDPB ha anche precisato che i risultati del rapporto devono essere combinati con gli ulteriori requisiti nazionali derivanti da diversi recepimenti della direttiva ePrivacy,
La regolamentazione attuale dei cookie nel dettaglio
Consenso ai cookie
La regola generale è che per l'invio e l'accesso ai cookie occorre il consenso. La finalità del consenso è di assicurarsi che l'utente abbia un reale controllo sulle informazioni che vengono registrate sul suo terminale o alle quali il titolare accede tramite i cookie. Il Considerando 32 del GDPR prevede che:
"il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso".
Quindi, prima che il trattamento dati abbia inizio, l'utente deve fornire un consenso che sia inequivocabile, liberamente dato, volontario, specifico e informato.
Il consenso può essere fornito in molti modi, visto che la Cookie Law non prende posizione in merito, ma occorre che esso sia conseguenza certa di una scelta volontaria. La normativa non prevede che sia esplicito, per cui un consenso implicito è accettabile a condizione che sia inequivocabile. La la totale inattività dell'utente non potrà mai considerarsi un consenso valido. Deve trattarsi di un comportamento attivo, come chiarito dalla sentenza della Corte di Giustizia europea (caso C-673/17), cioè rivolto inequivocabilmente all'accettazione dei cookie. Occorre che l'utente clicchi su un pulsanter "accetta" o "rifiuta". In sintesi:
- il mero scorrere la pagina non configura consenso valido (linee guida EDPB);
- la navigazione sul sito (cliccare su un link che porta ad altra pagina) non configura consenso valido;
- le caselle preselezionate (prespuntate) non sono ammesse;
- l'accesso alle funzionalità del sito non dovrebbe essere subordinato all'accettazione di cookie di profilazione da parte dell'utente (vedi cookie wall);
- l'accettazione dei cookie deve essere separata per i cookie di finalità diverse;
- il consenso deve essere rinnovato ad intervalli regolari (es. 1 anno) ma evitando di richiederlo ogni volta che l'utente visita la pagina (è possibile richiedere il consenso trascorsi almeno 6 mesi, oppure se l'utente cancella i cookie, quindi è impossibile identificare l'utente e stabilire se ha dato o meno il consenso);
- deve sempre essere possibile dimostrare il consenso ottenuto.
Consenso libero vuol dire che l'utente deve avere una reale scelta, per cui all'utente non può essere posta l'alternativa tra l'accettare tutti i cookie del sito oppure non navigare il sito e andarsene. In realtà non è previsto dalla normativa che un sito debba funzionare anche senza cookie, per cui può ritenersi conforme alla legge che in assenza di consenso al visitatore sia preclusa la navigazione del sito, a meno che il sito non offra dei servizi non sostituibili (es. siti di enti pubblici, vedi Cass. Sez. I Civ, 11/05/2018 - 2/07/2018, n.17278). Però occorre distinguere tra i vari servizi del sito, un utente non può essere soggetto al ricatto di dover accettare un cookie per la pubblicità personalizzata se vuole semplicemente utilizzare dei servizi forniti dal sito che non necessitano di quel cookie. Ciò comporta che il consenso deve essere separato per i tipi di cookie e quindi in relazione alla finalità (Considerando 32 GDPR: "Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste").
Per questo motivo il consenso fornito tramite le impostazioni dei browser non è generalmente considerato valido, innanzitutto perchè si limita ai cookie HTTP e non copre cookie di altro tipo (es. Flash Cookie) o altre tecnologie (fingerprint), ma anche perchè il browser tratta tutti i cookie allo stesso modo, per cui l'utente si troverebbe di fronte l'alternativa di accettare tutti i cookie oppure lasciare il sito.
Consenso volontario vuol dire che l'utente deve avere l'opportunità di revocare un consenso già fornito. Non è necessario che sia fornito uno strumento apposito per revocare il consenso, è sufficiente che all'utente sia spiegato come fare ciò (procedendo alla cancellazione dei cookie), anche eventualmente indirizzando a pagine esterne al sito.
Consenso specifico significa che devono essere precisamente indicati i dati che vengono raccolti e le finalità di utilizzo degli stessi dati. Nel caso dei cookie il consenso deve essere collegato alla finalità di registrare informazioni sul terminale dell'utente o di accedere a tali informazioni. Se viene utilizzato un solo consenso (Accetta tutto) allora occorre inserire anche un pulsante "Rifiuta tutto".
Il consenso deve essere informato, nel senso che le informazioni fornite all'utente devono essere complete e veritiere. In particolare l'utente deve essere posto a conoscenza delle conseguenze delle sue scelte, cioè cosa accade se da il consenso all'uso dei cookie oppure lo rifiuta o lo revoca.
Infine, il consenso deve essere preventivo, nel senso che deve aversi prima che i cookie vengano inviati al terminale dell'utente.
Garante privacy: Faq in materia di cookie
"Nel caso in cui un sito consenta la trasmissione anche di cookie di “terze parti” (v. punto 1), l'informativa e l'acquisizione del consenso sono di norma a carico del terzo. È necessario che l'utente venga adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui accede al sito che consente la memorizzazione dei cookie terze parti, ovvero quando accede ai contenuti forniti dalle terze parti e, comunque, prima che i cookie vengano scaricati sul suo terminale".
Tale consenso potrà essere documentato attraverso i log del sistema, ma anche attraverso un cookie, che essendo tecnico non necessita di ulteriore consenso, che potrà essere depositato sul terminale dell'utente per evitare di dover richiedere ogni volta il consenso.
L'utente deve poter rifiutare il consenso con la stessa facilità con la quale può accettare. Inoltre, a seguito del rifiuto il sito non dovrebbe ripetere ogni volta la richiesta di consenso, ma conservare la "scelta". I tempi di conservazione della scelta (accettazione o riufiuto) dipendono dal titolare, ma in genere dovrebbe essere tale da bilanciare i diritti del titolare e degli utenti (es. 6 mesi secondo le linee guida del Garante italiano).
Informativa breve (banner) e informativa estesa
Le modalità semplificate individuate per raccogliere il consenso prevedono un banner (informativa breve), di caratteristiche tali da determinare una discontinuità nell'esperienza di navigazione dell'utente, e quindi tale da attirarne l'attenzione. Un banner “affogato”, casomai con gli stessi colori del sito, potrebbe non essere conforme. Nel banner deve essere precisato se il sito utilizza cookie, in particolare se di terze parti e di profilazione, deve essere fornito il link all'informativa estesa, deve essere chiesto il consenso per i cookie e offerta la possibilità di negare tale consenso. E' importante che sia chiaro come rifiutare il consenso, ad esempio il banner può anche contenere il solo pulsante "Accetto" e una X che consente di chiudere il banner, però nel banner dovrà essere accuratamente precisato che cliccare sulla X equivale a rifiutare i cookie (in sostanza se chiudo il banner non accetto i cookie). La scelta dell'utente deve poter essere semplice, possibilmente con pochi clic, anche nel caso del rifiuto. Non è conforme un sito che per rifiutare i cookie pretende una defatigante deselezione di decine di caselle.
Attraverso detto banner l'utente deve poter accedere a tutte le informazioni sui cookie veicolati dal sito, elencati per categorie, sulla finalità degli stessi, sulle modalità per l'eventuale disabilitazione dei cookie. L'informativa sui cookie è una sezione dell'informativa privacy, non un documento separato, ma può essere pubblicata in una pagina separata, purchè poi nel banner sia richiamata sia l'informativa privacy che quella sui cookie.
Il banner non deve riproporsi costantemente ad ogni accesso del medesimo utente, a meno che il Titolare non sia in grado di verificare se il detto utente abbia effettivamente effettuato una scelta in merito ai cookie. Se invece tale scelta è stata effettuata e registrata (dovrebbe essere in qualche modo memorizzata, ad esempio anche utilizzando un cookie tecnico), il banner non deve riproporsi per almeno sei mesi. Quindi l'utente che accede allo stesso sito dopo aver fatto la sua scelta (fosse anche il rifiuto ai cookie) non dovrebbe rivedere il banner per almeno sei mesi. Di contro deve sempre essere attiva una sezione, un link, un box, per consentire agli utenti di rivedere i consensi eventualmente concessi.
L'informativa estesa (raggiungibile dal link nel banner e dal link "Informativa" che deve essere presente in tutte le pagine del sito) dovrà contentere le informazioni di cui all'art. 13 del GDPR, l'indicazione dei cookie che veicola il sito che potrà essere fatta per categorie (anche suddivise per finalità), le modalità di disabilitazione dei cookie (es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti (in caso non si conoscano i siti si può linkare il servizio YourOnlineChoices che offre indicazioni su una serie di servizi di profilazione pubblicitaria. E' importante che l'informativa contenga l'indicazione delle terze parti che utilizzano i cookie pubblicitari usati ne sito, oltre che delle finalità di tali terze parti.
Regolamentazione per categorie di cookie
La finalità dei cookie è un buon modo di categorizzazione da utilizzare per l'indicazione dei cookie all'interno dell'informativa estesa, ad esempio: Advertising; Analytics; Media management; Navigazione; Performance / networking; Shopping; Social network; Sondaggi; Preferenze utente; Profilazione.
Invece, per distinguere la regolamentazione ci atterremo ad una distinzione per grado di invasività dei cookie nella sfera privata dell'utente.
Cookie tecnici
I cookie tecnici sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio” (art. 122 Codice Privacy) e hanno un grado di invasività minimo, e per tale motivo sono esenti dal consenso. Occorre solo indicarli nell'informativa estesa, non occorre alcun banner.
La normativa prevede due ipotesi di esenzione dal consenso. Le ipotesi sono state analizzate dal Gruppo Articolo 29 e poi di nuovo dall'EDPB (linee guida EDPB):
A) il cookie è necessario per la trasmissione di una comunicazione su una rete di comunicazione elettronica;
B) il cookie è strettamente necessario per fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente.
I due criteri sono alternativi (“or”), quindi è sufficiente che sia rispettato uno dei due perché il cookie sia esentato da consenso.
Il criterio A è estremamente restrittivo. Il fatto che il cookie assista la trasmissione di una comunicazione non è sufficiente. L'inciso “for the sole purpose”, al solo fine di instradare la trasmissione, è indicativo del fatto che in assenza del cookie la comunicazione non deve essere possibile. L'inciso “or facilitating” è stato rimosso, ad ulteriore conferma dell'applicazione restrittiva del criterio. Quindi il cookie deve essere essenziale per l'identificazione del punto finale della comunicazione, per lo scambio dei pacchetti di comunicazione o per la verifica degli errori di trasmissione e perdite di dati. Un esempio è dato dai cookie di bilanciamento del carico (loadbalance) utilizzati dai provider.
Il criterio B rprevede due requisiti:
- il servizio è stato espressamente richiesto dell'utente con un'azione positiva (es. click);
- il cookie è strettamente necessario per il funzionamento del servizio, per cui in assenza del cookie il servizio non funziona.
I due requisiti devono sussistere contemporaneamente perché un cookie rientri nell'esenzione B.
Il problema ovviamente è di stabilire i confini delle funzionalità del servizio. Ad esempio, un plugin sociale ha la funzione di consentire la pubblicazione di un link sul profilo del social network service (SNS), ma nel contempo svolge anche altre funzioni, come raccogliere dati utilizzati dal SNS a fini pubblicitari. Quindi i parametri devono essere interpretati in base alle funzionalità del servizio espressamente richiesto dall'utente, cioé si deve tenere presente la prospettiva dell'utente non del sito web. Il cookie è esente da consenso solo se quell'espressa funzionalità richiesta dall'utente richiede necessariamente il cookie.
Nel caso dei plugin sociali, il cookie consente l'identificazione dell'utente, in assenza della quale non sarebbe possibile pubblicare il link all'articolo sul suo profilo. Il cookie, quindi, è essenziale alla funzionalità di pubblicazione sul profilo dell'utente del SNS un link. Però se quel cookie ha anche altre funzioni, come ad esempio tracciare l'utente, tale funzione ricade al di fuori dell'esenzione, e il cookie in sé non è esentato dal consenso. In tale caso occorre comunque che sul sito vi sia una adeguata informazione e la richiesta di consenso (non è necessario il consenso per il singolo cookie, è sufficiente un consenso per i cookie della stessa categoria).
Occorre distinguere tra utenti loggati e non loggati (oppure non iscritti) al SNS. Gli utenti che navigano già loggati nel SNS si aspettano di poter utilizzare i social plugin, e quindi detti cookie rientrano nell'esenzione B (Article 29: “many “logged in” users expect to be able to use and access social plug-ins on third party websites. In this particular case, the cookie is strictly necessary for a functionality explicitly requested by the user and CRITERION B applies”), purché i cookie scadano nel momento in cui l'utente “esce” (log-out) dal social. Altre funzionalità del cookie sono invece soggette a consenso.
Di contro se l'utente è non loggato, o addirittura non iscritto, l'utilizzo del cookie è sempre soggetto a consenso (generalmente i cookie dei SNS non tracciano -o non dovrebbero tracciare- i non utenti o utenti non loggati). Il problema è che il gestore del sito non è in grado di distinguere tra utenti loggati o non loggati, ma solo il titolare dei cookie può farlo, e se non lo fa rimane a carico del gestore del sito richiedere il consenso per i cookie in tutti i casi.
È importante notare che anche la durata del cookie ha incidenza sul consenso. La “vita” del cookie deve essere comunque correlata alla funzionalità richiesta dall'utente, per cui deve scadere al massimo alla fine della sessione del browser. Ma occorre distinguere caso per caso, perciò il cookie relativo al carrello di shopping può avere una durata superiore, consentendo di mantenere i prodotti nel carrello anche nel caso in cui l'utente chiuda il browser prima di terminare l'acquisto.
In tal senso il cookie di autenticazione (login), che conserva le credenziali dell'utente consentendogli di loggarsi automaticamente all'accesso del sito ricade sotto l'esenzione solo se vi è specifica check box con la quale viene espressamente chiesto all'utente se il sito deve ricordare le credenziali anche oltre la chiusura della sessione del browser. L'utilizzo di un cookie persistente (cioè che rimane anche dopo la chiusura del browser) in caso contrario non ricade nell'esenzione. Anche se bisogna dire che un cookie che ricorda i tentativi di login al fine di evitare attacchi brute force potrebbe rientrare nell'esenzione B.
Cookie di analytics e personalizzazione
La seconda categoria riguarda i cookie con un grado di invasività medio. Si tratta dei cookie di web analytics e quelli che conservano le scelte di personalizzazione del sito da parte dell'utente.
I cookie analitici di prima parte, cioè impostati direttamente dal titolare del trattamento coincidente col gestore del sito (tool di analytics con script presenti direttamente sul dominio del sito web), ma anche quelli di terza parte, non ricadono nei criteri di esenzione in quanto non sono “stricly necessary” per il funzionamento del sito, anche se possono essere molto utili per il miglioramento del sito stesso. Ma i cookie di analytics si rivelano spesso importanti per realizzare la migliore esperienza di navigazione per l'utente e in generale per migliorare il sito web e i servizi da esso offerti, così incoraggiando i cittadini ad utilizzare i servizi digitali, servizi che consentono risparmio di costi e aumento dei profitti. Si tratta di una priorità nell'ambito del futuro Digital Single Market europeo.
Il Gruppo Articolo 29 ha ritenuto che tali cookie non siano invasivi per la sfera privata dell'utente se il tool di analytics raccoglie dati anonimizzati e analizzati in forma aggregata. In sostanza deve essere mascherata la quarta parte dell'indirizzo IP, non devono essere combinati con altre elaborazioni e non devono essere comunicati a terzi. In tale prospettiva invitò ad aggiungere un terzo criterio di esenzione. Per questo motivo alcuni Garanti, compreso quello italiano, hanno fatto rientrare tali cookie (in presenza di anonimizzazione e in assenza di incrocio dei dati -leggi le istruzioni su come anonimizzare Google Analytics- con quelli di altri servizi) nella categoria generale dei cookie tecnici. Il Considerando 26 del GDPR, infine, ha stabilito espressamente che il Regolamento generale non si applica al trattamento di informazioni anonime, "anche per finalità statistiche o di ricerca".
Quindi, abbiamo due ipotesi:
1) cookie anonimizzati con blocco della condivisione dei dati: sono parificati ai cookie tecnici, sono esenti da consenso, non occorre banner, ma solo l'indicazione nell'informativa estesa;
2) cookie non anonimizzati oppure anonimizzati ma con condivisione dei dati con altri servizi della terza parte: sono assimilati ai cookie di profilazione, occorre banner e consenso.
Ovviamente la condivisione dei dati dipende dalla terza parte, e occorre verificare nei documenti contrattuali. E' la terza parte che si assume la responsabilità di ciò che dichiara.
Cookie di profilazione e pubblicitari (marketing, advertising)
I cookie di questa categoria raccolgono informazioni tracciando i dati di navigazione degli utenti al fine di realizzare la profilazione degli stessi in modo da potergli inviare pubblicità personalizzata. Hanno, quindi, un grado di invasività molto elevato. Necessitano del consenso preventivo, oltre che dell'informativa breve (banner), e devono scadere al massimo entro 12 mesi.
In relazione ai cookie pubblicitari si è espresso nel 2018 il Consiglio di Stato francese, confermando che non possono essere ritenuti “strettamente necessari”, e quindi sono soggetti a consenso preventivo. Anche se tali cookie sono necessari per la redditività economica del sito, nel senso che il sito dipende letteralmente dai guadagni pubblicitari per mantenersi, devono comunque essere preventivamente autorizzati dagli utenti, consentendo loro anche di esercitare il diritto di opposizione. In tal senso la base giuridica per i cookie pubblicitari può essere solo il consenso dell’utente e non i legittimi interessi del titolare (come precisato nelle Linee Guida del Garante italiano).
Cookie di terze parti
Il problema si pone principalmente per i cookie di terze parti (in base allo studio del Gruppo Article 29 il 70% dei cookie sono di terze parti) che risultano i più invasivi per la privacy degli utenti. Infatti sono generalmente i cookie di terze parti che vengono utilizzati a fini di profilazione e tracciamento dell'utente, in modo da poter registrare la sua navigazione online, le sue preferenze, i siti visitati, le pagine viste, i link cliccati, così da poter realizzare un profilo dei gusti e indirizzare pubblicità personalizzata.
Nel contesto della Data Protection una terza parte è la persona fisica o giuridica, autorità pubblica o ente, titolare o responsabile. Un cookie di terza parte è impostato dal titolare del trattamento che è distinto dal gestore del sito, mentre se il titolare del trattamento coincide col gestore del sito si parla di cookie di prima parte. Tale prospettiva differisce, però, rispetto all'approccio del browser, dove in quest'ultimo caso cookie di terza parte è quello impostato dal sito che appartiene ad un dominio differente rispetto al dominio visualizzabile nella barra degli indirizzi, senza alcun riferimento al trattamento dei dati. Ovviamente la definizione qui utilizzata è la prima.
La maggiore invasività dei cookie di terze parti è dovuta al fatto che i gestori dei siti che incorporano i servizi delle terze parti non hanno un controllo diretto sui cookie delle terze parti, e quindi non hanno nemmeno una conoscenza adeguata di quali dati le terze parti raccolgono e quali trattamenti effettuano su questi dati. Inoltre, l'utilizzo di tali cookie non è di immediata evidenza per gli utenti, i quali possono essere consapevoli della raccolta di dati da parte del gestore dei sito visitato, ma non sempre sono consapevoli della raccolta da parte di terzi. E tale raccolta avviene spesso senza nemmeno dover attendere un'azione positiva dell'utente, talvolta a seguito del mero accesso al sito vengono rilasciati dei cookie. Il trattamento dei dati degli utenti finisce per essere un trattamento occulto dei dati degli utenti, che ovviamente è vietato.
Per i cookie di terze parti la normativa di dettaglio dei Garanti nazionali prevede che il gestore del sito debba inserire nella sua informativa i link alle rispettiva informative privacy delle terze parti, in modo da consentire all'utente di informarsi compiutamente sulle finalità dei cookie stessi. Il gestore del sito, infatti, nel momento in cui imposta cookie di terza parte (es. inserisce il Like o il pixel di Facebook) decide (quale titolare del trattamento) di utilizzare un servizio di terza parte, consentendo a quest'ultima (es. Facebook) di ottenere dei dati dai navigatori del sito. In tal senso il gestore risponde della sua decisione, anche se non è direttamente responsabile dell'uso dei dati da parte della terza parte. Abbiamo, quindi, due titolari (autonomi o contitolari) che rispondono per le loro rispettive decisioni, anche se poi le finalità dei cookie sono effettivamente decise dalla terza parte (vedi Consiglio di Stato francese, 2019). Il gestore del sito dovrà, quindi, garantire che l'utente sia correttamente informato sull'uso dei cookie di terza parte, mettendolo in condizioni di conoscere le caratteristiche del trattamento della terza parte. In questo senso il gestore del sito può inserire nella sua informativa i link alle informative privacy della terza parte, verificando però che tali link rimangano funzionanti, aggiornandoli se necessario.
Social cookie
I principali cookie di terze parti sono quelli veicolati dai plugin sociali. I social plugin o social button sono dei widget che possono essere embeddati all'interno di una pagina web nella forma di iFrame.
I social plugin offrono contenuti personalizzati consentendo ai visitatori di un sito di condividere un articolo sul proprio profilo di un Social Network Service (SNS) come Facebook, Twitter, LinkedIn, e così via, con un semplice click, o di interagire con le persone collegate al proprio profilo. I social plugin offrono enormi benefici sia al SNS che agli utenti medesimi, prova ne è l'adozione esponenziale degli ultimi anni. Per personalizzare il contenuto di una pagina web il plugin interagisce col SNS trasmettendo al suo server un identificativo unico, contenuto usualmente in un cookie, insieme alla url della pagina web visitata. Inoltre il SNS riceve informazioni dettagliate circa la visita dell'utente del proprio servizio ad ogni pagina contenente un social plugin.
La personalizzazione della pagina dipende, ovviamente, dallo stato dell'utente. Se è un utente già iscritto al SNS e loggato, riceverà un elevato livello di personalizzazione. Ad esempio, nel caso di Facebook vedrà il numero degli utenti che hanno messo Like all'articolo, i nomi degli stessi, fino a visualizzare le immagini dei profili. Questo ovviamente dipende anche dalle impostazioni del plugin. Se invece l'utente non è loggato vedrà solo il numero dei Like. Se l'utente non è iscritto vedrà il numero dei Like e l'invito ad iscriversi al SNS.
I social cookie consentono al SNS di seguire la navigazione dell'utente attraverso i vari siti web, se questi presentano i social plugin. I cookie usati nei social plugin sono collegati al profilo dell'utente, il quale generalmente contiene dati personali (mail, nome, data di nascita, indirizzo) tali da consentire l'identificazione fisica dell'utente medesimo.
Anche altre terze parti, non SNS, tracciano gli utenti attraverso la navigazione online. Sono in grado di seguire l'utente se i loro banner o avvisi pubblicitari sono presenti sul sito, e sono in grado di mostrare pubblicità personalizzata ad un utente su un determinato sito, facente parte di quel circuito pubblicitario (cioè che presenta annunci di quel particolare circuito pubblicitario, es. Adsense), in base alle scelte che quell'utente ha effettuato su un diverso sito ma facente parte dello stesso circuito.
I circuiti pubblicitari, però, difficilmente riescono a recuperare dati dell'utente tali da identificarlo personalmente (a meno che non incrocino i dati con altri dati recuperati da differenti risorse). In genere si limitano ad un'identificazione generica dell'utente che sia utile ai fini della presentazione di pubblicità mirata. Invece i SNS sono sempre in grado di stabilire chi è l'utente, proprio perché incrociano i dati raccolti dai plugin sociali con i dati presenti direttamente sul profilo del SNS, nel quale in genere sono contenuti dati identificativi (nome, indirizzo). È evidente che l'intrusione nella sfera privata dell'utente è massima nel caso di utilizzo di plugin sociali.
Altre ipotesi di esenzione da consenso
Esistono ulteriori casi nei quali non occorre il consenso per l'utilizzo di cookie. Ad esempio, l’attuazione di un contratto oppure specifici obblighi legali del gestore del sito, sono motivi validi per l’utilizzo di cookie anche in assenza di consenso.
A tali ipotesi si aggiungono i legittimi interessi del titolare del trattamento, che possono giustificare l’utilizzo di cookie (ad esempio per motivi di sicurezza del sito o per il rilevamento di frodi). Anche in presenza di un trattamento basato sui legittimi interessi deve sempre essere possibile per l’utente richiedere la cessazione del trattamento (opt-out).
La privacy nei social network
La regolamentazione italiana (e non solo) prevede che i cookie dei SNS debbano essere bloccati fino al consenso, con ciò impedendo la visualizzazione dei bottoni sociali appunto fino al consenso.
In teoria tale regolamentazione appare eccessiva, se si considera che l'utente che naviga in internet già loggato in un servizio (social network) di fatto ha già dato il consenso al tracciamento tramite quel servizio. Certo, potrebbe non essere a conoscenza del fatto che anche su altri siti (quindi non sul social) viene tracciato, ma la policy privacy del social lo avverte (o quanto meno dovrebbe) di tale fatto.
Se l'utente è iscritto ad un social network e ha letto (se non lo ha fatto è però un problema suo) la policy privacy del social dovrebbe sapere che se è loggato nel social durante la navigazione le sue attività online sono tracciate dal social network, e se incontra plugin sociali sa (o dovrebbe sapere) che le sue attività sono registrate. Ha già dato il consenso a tutto ciò, ma comunque la normativa prevede che il gestore del sito web gli chieda un nuovo ed ulteriore consenso bloccando i cookie del social. In tale prospettiva il sito terzo rispetto al social di fatto chiede all'utente un consenso non sufficientemente completo o informato, non potendo sapere né quali cookie vengono veicolati dal social attraverso il suo sito, né quali dati vengono raccolti, né cosa accade a tali dati.
L'attuale normativa supera, per così dire, il problema imponendo un'informazione di rimando, cioè nell'informativa estesa devono essere linkate la privacy policy del social network (o sito terzo) che vanno ad integrare l'informazione all'utente, il quale potrà visualizzarle prima di concedere il consenso che sarà raccolto dal gestore del sito web. Si tratta delle stesse privacy policy che l'utente del social network dovrebbe già aver letto e sicuramente ha già accettato al momento in cui si è iscritto al social. Ecco che l'informazione diventa ridondante (a scapito della semplificazione, obiettivo della riforma della Data Protection europea).
In realtà i plugin social vanno ben oltre gli scopi per i quali sono utilizzati normalmente dagli utenti, quindi ben oltre la semplice condivisione di dati e informazioni sui social, tracciando e raccogliendo tutti i dati di navigazioni degli utenti. Il punto è che alcune aziende, purtroppo, forzano un po' le normative. Secondo uno studio del Garante belga alcune aziende tracciano, tramite i plugin sociali, anche i visitatori di un sito che non sono però loggati al social network, o addirittura che non sono nemmeno iscritti al social. Di fatto tracciano la navigazione di ogni utente (realizzando i cosiddetti shadow profiles, i quali generalmente contengono informazioni recuperate da amici e contatti -es. scansionando l'elenco contatti di un utente Facebook si ottengono i numeri di telefono anche di soggetti non iscritti a Facebook-), indipendentemente da un eventuale preventivo consenso. Da cui la necessità di un ulteriore onere a carico del gestore del sito web.
Il gestore del sito deve rispondere delle sue scelte, quindi se inserisce degli script o iframe (parliamo dei social plugin, ma anche delle mappe di Google, ed altro) deve farsi carico di informare gli utenti per l'uso di tali plugin (e quindi dei cookie che veicolano) e della raccolta del consenso. Insomma il gestore di un sito chiede il consenso per il suo uso, non quello del social.
Purtroppo in tal modo il consenso reso al gestore del sito non risulta compiutamente informato, visto che il gestore di un sito non può fare altro che dire di utilizzare cookie, senza sapere quali e senza sapere null'altro sui dati raccolti e l'utilizzo degli stessi.
Lo spezzare in due parti il processo di raccolta del consenso non aiuta, a meno che nelle policy privacy delle aziende profilanti (e infatti le aziende si stanno orientando in tal senso) non sia esplicitamente imposto al gestore di un sito che utilizza i suoi servizi (tipo i social plugin) di raccogliere tale consenso al posto loro, così di fatto nominando il gestore del sito quale responsabile del trattamento oppure considerandolo quale contitolare del trattamento (per la parte di sua competenza, ovviamente).
Regolamentazione futura
La regolamentazione dei cookie verrà ulteriormente modificata a seguito dell'entrata in vigore del Regolamento ePrivacy.
